Motorola-App manipuliert Amazon-App zur Einbindung von Affiliate-Codes

Stattdessen startet das Gerät eine Browser-Sitzung, die auf eine unbekannte URL zeigt, welche im Anschluss zu Amazon.com weiterleitet und einen eingebetteten Affiliate-Code enthält. Die Analyse des Netzwerkverkehrs ergab, dass eine vorinstallierte, versteckte Systemanwendung namens Smart Feed für das Vorgehen verantwortlich ist.

Die App sendet ausgehende Anfragen an devicenative[.]com, einen externen Server, der scheinbar Konfigurationen für Ziel-Apps und Affiliate-Codes bereitstellt. Wenn ein Nutzer auf ein Einkaufs-App-Symbol im Startmenü tippt, fängt Smart Feed die Absicht ab und ersetzt sie durch eine Browser-Weiterleitung, die die Monetisierungsdaten enthält.

Der Angriffsablauf ist einfach: Der Nutzer tippt auf Amazon (oder potenziell andere Einkaufs-Apps) im Startmenü. Smart Feed fängt die Startabsicht ab, bevor sie die Ziel-App erreicht. Die App fragt devicenative[.]com nach Affiliate-Parametern ab.

Markt und Strategie

Ein Browser öffnet sich mit einer Weiterleitungs-URL, die zu Amazon führt und einen injizierten Affiliate-Tag enthält. Der Nutzer landet auf Amazon.com, ohne zu wissen, dass ihm Umsatzgutschriften bereits gutgeschrieben wurden.

Die Weiterleitung würde völlig unbemerkt bleiben, es sei denn, der Nutzer hätte die Einstellung „Links standardmäßig in der App öffnen" deaktiviert – eine Nicht-Standard-Konfiguration, die die meisten Nutzer nie ändern.

Neben dem offensichtlichen finanziellen Fehlverhalten zeigen sich in diesem Verhalten Merkmale, die typisch für Adware- und Banking-Trojaner-Techniken sind: Intent-Hijacking, versteckte Persistenz auf Systemebene und externe, C2-artige Kommunikation mit einem Remote-Server (devicenative[.]com) zur dynamischen Konfiguration der Zielgruppenansprache.

Sicherheitslage und Risiko

Die Nutzung einer versteckt vorinstallierten App erschwert Nutzern die Entdeckung und Deinstallation erheblich. Aus Sicht der Bedrohungsmodellierung könnte dieselbe Architektur, die heute Affiliate-Codes einfügt, serverseitig aktualisiert werden, um Nutzer auf Phishing-Seiten oder Seiten zur Credential-Harvesting umzuleiten.

Die Abhängigkeit für Verhaltensanweisungen ist besonders besorgniserregend, da dies bedeutet, dass die Funktionalität der App ohne Firmware-Update geändert werden kann. Das Problem wurde am Motorola Razr 60 Ultra bestätigt, einem Flaggschiff-Gerät, das mit etwa 1.300 US-Dollar erhältlich ist.

Unklar bleibt, ob sich das Verhalten auf andere Motorola-Modelle oder regionale Varianten erstreckt.

Technik und Auswirkungen

Die Domain devicenative[.]com deutet darauf hin, dass möglicherweise ein Drittanbieter-Monetarisierungs-SDK oder ein Partner-Affiliate involviert ist, anstatt dass Motorola dies direkt entwickelt; diese Unterscheidung mindert jedoch kaum Motorolas Verantwortung für das Bündeln solcher Software.

Bis zur Veröffentlichung hat Motorola keine offizielle Stellungnahme abgegeben. Der Bericht von 9to5Google vom 25. Mai 2026 hat die Erkenntnisse breiter Aufmerksamkeit verschafft.